滯后殺毒制約防毒產(chǎn)業(yè)

申請免費試用、咨詢電話：400-8352-114

在計算機病毒發(fā)展的20 余年里，殺毒軟件對新病毒的防范始終滯后于病毒出現(xiàn)的重大缺陷，導(dǎo)致人們普遍認(rèn)為反病毒產(chǎn)品不可能主動防御新病毒。甚至有些人認(rèn)為，想研制一種主動防御的反病毒產(chǎn)品，就如同要為一種未知的疾病制作特效藥一樣異想天開。反病毒思想和反病毒技術(shù)的當(dāng)前思維模式究竟能否實現(xiàn)突破，病毒主動防御之路是否能走得通？“國家八六三計劃反計算機入侵和防病毒研究中心”專家委員會專家劉旭就目前業(yè)界關(guān)注和探討的反病毒的四個焦點問題發(fā)表了自己的看法。 
 
焦點一：人能否發(fā)現(xiàn)新病毒

殺毒軟件本身基本上不能發(fā)現(xiàn)新病毒，是眾所周知的客觀事實。但是，人能否發(fā)現(xiàn)新病毒呢？如果人不能發(fā)現(xiàn)新病毒，同為自然人的反病毒公司研發(fā)人員也就不可能發(fā)現(xiàn)新病毒，由此帶來的問題是，殺毒軟件每天升級的是什么，反病毒公司每次宣稱發(fā)現(xiàn)的新病毒又是誰來發(fā)現(xiàn)的？回答是肯定的，人可以發(fā)現(xiàn)新病毒。新病毒一定是人通過相應(yīng)的方法判斷出來的。

焦點二 ：防毒公司如何判斷新病毒

從上個世紀(jì)八十年代病毒出現(xiàn)后，反病毒技術(shù)就有兩種思路：一種是采用靜態(tài)掃描方式，即特征值掃描技術(shù)；另一種采用動態(tài)分析方法。

特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫，殺毒軟件將用戶計算機中的文件或程序等目標(biāo)，與病毒特征庫中的特征值逐一比對，判斷該目標(biāo)是否被病毒感染。這種方法的固有缺陷是，對新病毒的防范始終滯后于病毒的出現(xiàn)。反病毒公司把捕獲到并已處理的病毒稱為已知病毒，否則就稱為未知病毒。只有采用特征值掃描技術(shù)時，才區(qū)分已知和未知病毒。

焦點三：人工識別新病毒有多難

雖然病毒越來越多，但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少，不到總數(shù)的1%。絕大多數(shù)病毒都是模仿其它病毒編寫的，這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經(jīng)存在的病毒找到，人工識別絕大多數(shù)新病毒并不是一件很難的事。

焦點四：主動防御病毒是否可行

將現(xiàn)有病毒的行為進行分析、歸納、總結(jié)，通過對反病毒專家分析判斷新病毒的經(jīng)驗科學(xué)提煉，實現(xiàn)軟件自動識別病毒是可行的。而十多年來，反病毒技術(shù)的研究主要禁錮于特征值掃描法，很少對病毒主動防御技術(shù)進行深入探討和研究。從反病毒領(lǐng)域的實踐和計算機技術(shù)的發(fā)展趨勢可以看出，開發(fā)病毒主動防御系統(tǒng)不僅是可能的，而且是可行的。

因此，跳出傳統(tǒng)技術(shù)路線，盡快研制以行為自動監(jiān)控、行為自動分析、行為自動診斷為新思路的主動防御型產(chǎn)品，從根本上克服殺毒軟件重大缺陷，建立主動防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系，實現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級，是全球反病毒領(lǐng)域共同面臨的巨大挑戰(zhàn)，具有極現(xiàn)實的信息安全急迫性。

轉(zhuǎn)載自《每周電腦報》